Нещодавно Google запущено двоступенева автентифікація для вашої електронної пошти це, по суті, 6-значний додаток для генерації коду на вашому мобільному телефоні, що дозволяє подвійно перевірити доступ до електронної пошти більш безпечним способом, маючи випадковий числовий код, який змінюється зі швидкістю одна хвилина і який потрібно ввести після введення звичного пароля. Це подвійне підтвердження також може бути реалізований в Ubuntu для автентифікації входу користувача у два етапи - інструмент, який не дозволить допитливим потрапити на ваш комп’ютер, навіть якщо вони знають ваш основний пароль. |
Ось невеликий навчальний посібник, щоб виконати це впровадження:
Крок 1: Встановіть Google Authenticator на свій мобільний телефон
Завантажте Google Authenticator на свій мобільний телефон. Для користувачів Android я залишаю тут таке посилання:
Додаток також доступний для Iphone і Blackberry.
Крок 2: Завантажте пакет для UBUNTU
Додайте наступний PPA до списку джерел пакетів, запустивши команду нижче з консолі:
sudo add-apt-repository ppa: невдала оболонка / стабільна
Крок 3: Оновіть списки програм
Виконайте таку команду, щоб оновити базу даних джерел PPA у вашій системі:
Суду apt-get поновлення
Крок 4: Встановіть модуль для PAM (підключається модуль автентифікації)
Виконайте вкладену команду, це встановить у вашій системі два файли для встановлення двоетапної автентифікації: /lib/security/pam_google_authenticator.so та / usr / bin / google-authentator.
sudo apt-get install libpam-google-authentication
Крок 5: Налаштуйте обліковий запис доступу
Тепер необхідно виконати з консолі команду "google-authentication" для налаштування облікового запису, з якого ви увійшли в систему. Після виконання команди на екрані з’явиться QR-код. Ви повинні використовувати програму (Google Authenticator), щойно встановлену на вашому мобільному телефоні, щоб отримати коди автентифікації, пов’язані з вашим логіном.
Я рекомендую зробити "екран друку" або знімок екрана QR-коду, щоб пізніше можна було пов'язати інші пристрої.
Крок 6: Налаштуйте PAM для використання двофакторної автентифікації.
Відкрийте термінал і додайте наступний рядок до файлу /etc/pam.d/sudo та використовуйте sudo vi або sudo gvim, щоб внести зміни:
авторизація потрібна pam_google_authenticator.so
Відкрийте новий термінал і запустіть:
sudo ls
Система запитає пароль, а потім запит на "Код підтвердження:". Введіть спостережувані цифри у програмі Google Authenticator на своєму мобільному телефоні.
У вас буде приблизно три хвилини від зміни коду номера. Незалежно від того, чи змінюється номер коду, він залишатиметься активним протягом двох додаткових хвилин.
Якщо все піде добре, відредагуйте файл /etc/pam.d/sudo ще раз, видаливши доданий вами рядок "auth required pam_google_authenticator.so", збережіть і закрийте.
Тепер для отримання найкращого захисту реалізовано двохетапну перевірку, додайте із sudo vi, sudo gvim або будь-яким іншим редактором за вашим уподобанням, але завжди з sudo, рядок «auth required pam_google_authenticator.so» до файлу «/etc/pam.d/ auth »І відтепер будь-яка перевірка вимагатиме подвійної автентифікації.
Якщо ви хочете бути менш обмежувальними, ви можете використовувати будь-який інший файл у каталозі /etc/pam.d, залежно від ваших потреб у безпеці.
PPA не працює для мене в Mint XFCE.
Думаю, нам доведеться почекати кілька днів, поки він буде доступний для цього дистрибутива.
Ну, у вашому випадку я розумію, що це було б лайтдм.
Коли справа доходить до "фальсифікації", це все ... хтось із незначними технічними знаннями і хто знає, який файл шукати, може обійти, начебто, складнішу систему безпеки. Це, якщо ця особа має фізичний доступ до вашого комп’ютера. Тому ця система дійсно корисна у випадках, коли виконуються віддалені входи, наприклад, при використанні sshd.
На здоров’я! Павло.
У моїй папці pam.d є:
/etc/pam.d/lightdm
/etc/pam.d/kdm
(Я використовую Ubuntu 12.04 і у мене встановлено KDE, навіть незважаючи на те, що на моєму робочому столі є Gnome 3.4)
Але при додаванні авторизації це не дозволяє мені увійти, він говорить мені: "критична помилка", я повинен був залишити їх так, як вони були з терміналу в "Режимі відновлення"
Решта про sshd мені не дуже зрозуміла, але рекомендація зробити справді систему більш безпечною та менш "недоторканною" була б дуже корисною. Я використовую Linux близько 3 років серед багатьох причин його надійності та безпеки, і я завжди шукаю спосіб ускладнити все, додати рівні та безпеку, як я сказав "ПОРАДА" про те, як правильно використовувати двоетапну перевірку в Ubuntu було б чудово. =)
Залежно від системи, яку ви використовуєте, це один із таких варіантів:
/etc/pam.d/gdm
/etc/pam.d/lightdm
/etc/pam.d/kdm
/etc/pam.d/lxdm
і т.п.
Крім того, дозвольте пояснити, що має сенс використовувати його з sshd, наприклад, ніж із входом на комп’ютер. З тієї простої причини, що секретний ключ зберігається у папці у вас вдома, щоб хтось, хто має доступ до вашого комп’ютера, міг запустити з livecd, скопіювати ключ та створити власну пару токенів. Так, це правда, що це "ускладнює справи", але це не недоторканна система ... хоча це дуже класно.
Така сама проблема не існувала б для процесів, які вимагають віддаленого входу, наприклад sshd.
На здоров’я! Павло.
Гаразд, це все, якщо я хочу активувати перевірку лише у 2 кроки для входу до якого файлу я додаю "auth required pam_google_authenticator.so" у pam.d?
Дякую Відмінний ресурс!
якщо це працює, у мене є 12.04, і я додав РЕП PPA
PPA не працює на Ubuntu 12.04 Будь-які рішення?
Ура